Openvpn mit Raspberry vs. Fritz Vpn

[Avenger84]

Hallo,
Habe gelesen dass ich anstatt direkt über die FB auch über einen Raspberry Pi ein VPN einrichten kann.
Die FB schafft nur 10MBits etwa, (U)HD vom Sat Receiver lässt sich nicht ruckelfrei streamen.
Angeblich lässt sich per Raspi 30MBits realisieren.
Paßt das?
Wenn ja wäre das perfekt.

Kann man per Windows 10 vpn direkt (ohne 3.anbieter Software) die Verbindung einrichten?
Per FB musste ich Shrew am Clienten installieren und einrichten.

MfG

 

[foofoobar]

https://www.wireguard.com/

 

[martinallnet]

Mit tinc schafft ein Pi bei mir auch so um die 30 Mbits:

pi@ControlPi:~ $ iperf3 -c 192.168.100.1 -t 30
Connecting to host 192.168.100.1, port 5201
[  4] local 192.168.100.5 port 33008 connected to 192.168.100.1 port 5201
[ ID] Interval           Transfer     Bandwidth       Retr  Cwnd
[  4]   0.00-1.00   sec  4.59 MBytes  38.4 Mbits/sec    0    227 KBytes      
[  4]   1.00-2.00   sec  4.66 MBytes  39.1 Mbits/sec    0    434 KBytes      
[  4]   2.00-3.00   sec  4.66 MBytes  39.1 Mbits/sec    0    640 KBytes      
[  4]   3.00-4.00   sec  3.87 MBytes  32.5 Mbits/sec   26    503 KBytes      
[  4]   4.00-5.00   sec  4.11 MBytes  34.5 Mbits/sec    0    566 KBytes      
[  4]   5.00-6.00   sec  4.11 MBytes  34.5 Mbits/sec    0    610 KBytes      
[  4]   6.00-7.00   sec  3.74 MBytes  31.4 Mbits/sec    2    559 KBytes      
[  4]   7.00-8.00   sec  4.23 MBytes  35.5 Mbits/sec    3    477 KBytes      
[  4]   8.00-9.00   sec  4.11 MBytes  34.5 Mbits/sec    0    509 KBytes      
[  4]   9.00-10.00  sec  4.05 MBytes  34.0 Mbits/sec    0    529 KBytes      
[  4]  10.00-11.00  sec  4.11 MBytes  34.5 Mbits/sec    0    540 KBytes      
[  4]  11.00-12.00  sec  4.11 MBytes  34.5 Mbits/sec    0    543 KBytes      
[  4]  12.00-13.00  sec  4.05 MBytes  34.0 Mbits/sec    0    543 KBytes      
[  4]  13.00-14.00  sec  4.11 MBytes  34.5 Mbits/sec    0    543 KBytes      
[  4]  14.00-15.00  sec  4.11 MBytes  34.5 Mbits/sec    0    547 KBytes      
[  4]  15.00-16.00  sec  4.05 MBytes  34.0 Mbits/sec    0    557 KBytes      
[  4]  16.00-17.00  sec  4.11 MBytes  34.5 Mbits/sec    0    576 KBytes      
[  4]  17.00-18.00  sec  4.05 MBytes  34.0 Mbits/sec    0    608 KBytes      
[  4]  18.00-19.00  sec  3.80 MBytes  31.9 Mbits/sec    6    448 KBytes      
[  4]  19.00-20.00  sec  4.23 MBytes  35.5 Mbits/sec    0    512 KBytes      
[  4]  20.00-21.00  sec  4.11 MBytes  34.5 Mbits/sec    0    564 KBytes      
[  4]  21.00-22.00  sec  4.05 MBytes  34.0 Mbits/sec    0    600 KBytes      
[  4]  22.00-23.00  sec  4.11 MBytes  34.5 Mbits/sec    0    623 KBytes      
[  4]  23.00-24.00  sec  3.93 MBytes  33.0 Mbits/sec    1    444 KBytes      
[  4]  24.00-25.00  sec  4.17 MBytes  35.0 Mbits/sec    0    484 KBytes      
[  4]  25.00-26.00  sec  4.05 MBytes  34.0 Mbits/sec    0    512 KBytes      
[  4]  26.00-27.00  sec  4.11 MBytes  34.5 Mbits/sec    0    528 KBytes      
[  4]  27.00-28.00  sec  4.05 MBytes  34.0 Mbits/sec    0    536 KBytes      
[  4]  28.00-29.00  sec  4.11 MBytes  34.5 Mbits/sec    0    537 KBytes      
[  4]  29.00-30.00  sec  4.05 MBytes  34.0 Mbits/sec    0    537 KBytes      
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bandwidth       Retr
[  4]   0.00-30.00  sec   124 MBytes  34.6 Mbits/sec   38             sender
[  4]   0.00-30.00  sec   122 MBytes  34.1 Mbits/sec                  receiver

iperf Done.

Senden und empfangen sind so ziemlich gleich.

 

[Raijin]

Kann man per Windows 10 vpn direkt (ohne 3.anbieter Software) die Verbindung einrichten?

OpenVPN erfordert zwingend einen installierten OpenVPN-Client.

 

[konkretor]

Softether kann alle vpn Protokolle ist opensource und läuft fast überall.

Sstp ist ganz interessant da Windows einen eigenen Client mitbringt.

 

[Avenger84]

Und bei wireguard?
Sieht mir sehr experimentell aus

 

[andre85]

Ist es auch, läuft aber verdammt gut, sehr schnell und bei mir bislang absolut problemlos.
Hab's auch auf einem raspi am laufen.

 

[Schorsch92]

Ich habe hier auch WireGuard am laufen und der TunSafe Client ist viel stabiler als der FRITZ!VPN per Shrew VPN und deutlich schneller als SoftEther (und bei SoftEther habe ich von der Sicherheit ein mulmiges Gefühl). Auch der WireGuard Client unter Android ist stabiler als der integrierte Android VPN per IKEv1 zur FRITZ!Box.

Privat kann man WireGuard schon Recht gut nutzen für Anwender im Firmenumfeld fehlt mir noch ein Client welcher für den Anwender ohne Amin Rechte eine Verbindung aufbauen und trennen kann und den Privaten Key nicht mehr exportieren lässt.

 

[Avenger84]

Braucht man bei wireguard sowohl ein 3.programm für win10 als auch für Android?

 

[Schorsch92]

Ja da es noch ein sehr junges Projekt ist braucht man aktuell für alle Systeme noch eine extra Client Software aber im Gegensatz zu SSTP und IKEv2 welche Windows von haus aus beherrscht und die sich z.B. mit SoftEther auf dem RasPi realisieren lassen läuft es deutlich Performanter und auch stabiler. Für OpenVPN braucht man auch auf beiden Plattformen einen extra Client, SSTP per SoftEther ist langsam (und wird von Android auch nicht von Haus aus unterstützt).

ps. Vor WireGuard hatte ich SoftEther mit SSTP und den IKEv1 VPN der FRITZ!Box im Einsatz sowie einen S2S Tunnel zwischen einem SoftEther in einer VM und einem RasPi der 1. Gen.

 

[Avenger84]

Also noch bisschen warten bis wireguard ausgereift ist.

Funktioniert eigentlich inzwischen Fritz fernzugang für win10?

 

[Schorsch92]

Also noch bisschen warten bis wireguard ausgereift ist.

Funktioniert eigentlich inzwischen Fritz fernzugang für win10?

Warum noch etwas warten für was willst du es benutzen? Als Fernzugang für das Heimnetz ist es deutlich besser als der veraltete IKEv1 Kram welcher die FRITZ!Box anbietet klar TunSafe ist nicht perfekt und der Offizielle WireGuard Client für Windows ist noch (lange?) nicht fertig aber auch wenn der technisch einiges wohl deutlich sauber lösen will als TunSafe und aktuelle OpenVPN Clients für Windows wird es sich dabei um eine Drittanbieter-Software für Windows handeln. Nur im Firmenumfeld in dem Ich Anwender einen Zugriff zum Firmennetz geben will die auf ihren Endgeräten keine Admin Rechte haben und bei denen ich idealerweise noch verhindern will das der Anwender den VPN Zugang vom Firmengeräte auf ein unautorisiertes Privatgerät kopiert will ich die aktuelle WireGuard Client-Software derzeit noch nicht einsetzen auch wenn ich das VPN Protokoll technisch für einige Anwendungsfälle als Ideal geeignet finde.

 

[andre85]

Der große Vorteil von wireguard besteht ja neben der Geschwindigkeit auch bei der Stabilität und dem zuverlässigen wieder Verbinden. Zum Beispiel ist es kein Thema vom WLAN und mobile Netz zu wechseln. Die Unterbrechung des VPN ist so kurz, dass man sie meist nicht merkt.
Bei OpenVPN ist es hingegen meist so, dass es häufig nicht alleine klappte, oder Recht lange dauerte.

Davon abgesehen wird wireguard auch aufgrund des Codes gelobt, welcher sehr strukturiert und einfach gehalten wurde, so dass etwaige Sicherheitsprobleme auch schnell gefunden, bzw. behoben werden können.

Also ich werde im privaten Bereich nicht mehr weg gehen von wireguard.

 

[Paradox.13te]

Wireguard sieht sehr vielversprechend aus daran besteht überhaupt keine Zweifel. Perfekt ist es leider nicht bzw wurde es nicht dafür konzipiert z.B. die Firewall in China zu penetrieren. Das es jetzt noch in China geht liegt am Bekanntheitsgrad.

 

[Avenger84]

Könnt ihr eine gute Anleitung empfehlen am besten in Deutsch.
a) Raspberry Server
b) Client Win10
Android braucht ne App oder?
Zieht die im Leerlauf unnötig viel Strom?

 

[andre85]

Zu a)
https://github.com/adrianmihalko/raspberrypiwireguard/blob/master/README.md
https://github.com/adrianmihalko/ra...agement-with-Wireguard-User-Management-script

Damit ist es sehr simpel.
Habe bei mir außerdem noch pihole am laufen und als DNS drin.

Zu b)
Win10 Client nutze ich nicht.
Android stabil und nicht Merkhardt zusätzlicher Akkuverbrauch, trotz dass es dauerhaft läuft.

 

[Avenger84]

bei mir hört es bei
4. Setup Wireguard interface on server
auf (siehe Screenshot)

damit bin ich mit meinem Latein am Ende

 

[andre85]

Der Text aus Schritt 4 gehört natürlich entsprechend angepasst in die (bei dir noch leere) Datei.
Ich würde dir aber eh für die Konfiguration meinen zweiten Link empfehlen. Ist bedeutend einfacher und schneller.

 

[Raijin]

Nano ist ein Editor wie Notepad. Wenn du bei Windows "notepad eineneuedatei.txt" eingibst, zeigt Notepad dir auch eine leere Datei an. Es ist daher mit 2 Sekunden Nachdenken davon auszugehen, dass der folgende Text in Schritt 4 dann in die Datei gehört.

Ich gebe aber zu, dass das anleitungstechnisch sehr unklug aufgemacht ist. Normalerweise wird der Befehl gezeigt und dann in einem separaten Kasten explizit auf den Dateiinhalt verwiesen.

Im übrigen rate ich dir, dich zumindest mit den Linux-Basics wie zB Navigation durch die Ordner, Editoren wie nano sowie Standardbefehlen wie cp (copy) und dergleichen auseinandersetzt. Ein PI ist so oder so kein Selbstläufer und ohne auch nur einen Funken Ahnung davon was man gerade tut, birgt blindes Abtippen oder Nacharbeiten von Tutorials ein gewisses Risiko. Nicht selten beinhalten solche Anleitungen auch Fehler, die man dann blind übernimmt.

 

[Avenger84]

lol
naja das Projekt https://github.com/camueller/SmartApplianceEnabler habe ich auch ans laufen gekriegt.

ok probiere ich mal den anderen Weg

Ergänzung (23. April 2019)

bin mir nicht ganz sicher welche IPs gemeint sind in den folgenden Schritten:
VPN NET => Raspberry IP ?

Allowed IPs => ?

Und welche Ports nachher geöffnet werden müssen

Edit server details:

pi@raspberrypi:~/wg_config $ cp wg.def.sample wg.def
pi@raspberrypi:~/wg_config $ nano wg.def
_INTERFACE=wg0
_VPN_NET=192.168.99.0/24
_SERVER_PORT=51820
_SERVER_LISTEN=your.publicdns.com:$_SERVER_PORT
_SERVER_PUBLIC_KEY=5lFoBBjeLcJWC9xqS/Kj9HVwd0tRUBX/EQWW2ZglbDs=
_SERVER_PRIVATE_KEY=aA+iKGr4y/j604LtNT+MQJ76Pvz5Q5E+qQBLW40wXnY=

Edit client template:

pi@raspberrypi:~/wg_config $ nano client.conf.tpl
[Interface]
Address = $_VPN_IP
PrivateKey = $_PRIVATE_KEY

[Peer]
PublicKey = $_SERVER_PUBLIC_KEY
AllowedIPs = 192.168.99.1/32, 192.168.1.0/24
Endpoint = $_SERVER_LISTEN

192.168.1.0/24 is my remote LAN subnet, if you add here your own network subnet, you can access remote LAN devices from the client.

Bring up WireGuard interface:

pi@raspberrypi:~/wg_config $ sudo touch /etc/wireguard/wg0.conf
pi@raspberrypi:~/wg_config $ sudo wg-quick up wg0
[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
[#] ip link set mtu 1420 up dev wg0
pi@raspberrypi:~/wg_config $ sudo wg
interface: wg0
  listening port: 37165